Adobe Commerce 2.4.3-p2 - 2.4.5 Sicherheits-Hotfix für CVE-2022-35698

Am 11. Oktober 2022 veröffentlichte Adobe die regelmäßig geplanten Sicherheits-Patches 2.4.5-p1 und 2.4.4-p2 für Adobe Commerce und Magento Open Source.

Unter diesen Patches ist ein Update, das eine Cross-Site-Scripting-Schwachstelle (gespeichertes XSS) (CWE-79) behebt, die von CVE-2022-35698 als wichtig eingestuft wurde.

Adobe sind keine Exploits für dieses Problem bekannt.

In diesem Artikel finden Sie Hotfix-Patches für dieses Problem für frühere Versionen von Adobe Commerce und Magento Open Source.

Betroffene Produkte und Versionen

Adobe Commerce auf Cloud-Infrastruktur und On-Premise und Magento Open Source:

  • 2,4,5
  • 2.4.4, 2.4.4-P1
  • 2.4.3-p2, 2.4.3-p3
  • 2.3.7-p3, 2.3.7-p4
  • 2.4.3-p1 und älter als 2.4.3-p1 sind nicht betroffen, wenn alle geltenden 2.4.x-Sicherheits-Hotfixes angewendet werden (eine Liste aller für Ihre Version geltenden Sicherheits-Hotfixes finden Sie hier).
  • 2.3.7-p2 und älter als 2.3.7-p2 sind nicht betroffen, wenn alle geltenden 2.3.x-Sicherheits-Hotfixes angewendet werden (eine Liste aller für Ihre Version geltenden Sicherheits-Hotfixes finden Sie hier).

Lösung für Adobe Commerce auf Cloud-Infrastruktur und On-Premise und Magento Open Source

Um die Sicherheitslücke zu beheben, wenn Sie sich in Adobe Commerce in der Cloud-Infrastruktur und lokal oder in der Magento Open Source befinden, müssen Sie einen ACSD-47578 Patch anwenden.

Lösung für Adobe Commerce in Cloud-Infrastrukturen und für Händler vor Ort mit den Versionen 2.3.7-p3 und 2.3.7-p4, die unser erweitertes Support-Angebotsprogramm erworben haben

Adobe Commerce on Cloud Infrastructure and On-Premises Merchants on 2.3.7-p3 and 2.3.7-p4 versions, die unser erweitertes Support-Angebotsprogramm erworben haben, müssen den ersten Sicherheits-Patch für erweiterten Support 2.3.7 anwenden, der vom Marketplace-Portal im My Account/Downloads-Abschnitt heruntergeladen werden kann.

Lösung für Adobe Commerce für Cloud-Infrastruktur- und On-Premise-Händler, die nicht am erweiterten Support-Programm teilnehmen, und Magento Open Source-Händler in den Versionen 2.3.7-p3 und 2.3.7-p4

Adobe Commerce für Cloud-Infrastrukturen und lokale Händler, die nicht am erweiterten Support-Programm teilnehmen, und Magento Open Source-Händler für die Versionen 2.3.7-p3 und 2.3.7-p4 müssen auf eine unterstützte Version 2.4.x aktualisieren.

Fleck

Verwenden Sie je nach Adobe Commerce-/Magento Open Source-Version die folgenden angehängten Patches:

Für die Versionen 2.4.4, 2.4.4-p1, 2.4.5:

Für die Versionen 2.4.3-p2, 2.4.3-p3:

Anbringen des Pflasters

Entpacken Sie die Datei und Sie in unserer SupportWissensdatenbank die Anleitung „So wenden Sie einen Composer-Patch von Adobe an“.

Wie man feststellt, ob die Patches angewendet wurden

Da es nicht einfach möglich ist, zu überprüfen, ob das Problem behoben wurde, sollten Sie überprüfen, ob der ACSD-47578 Patch erfolgreich angewendet wurde.

Sie können dies tun, indem Sie die folgenden Schritte ausführen:

  1. Installieren Sie das Quality Patches Tool.

  2. Führen Sie den Befehl aus:

    code language-bash
    vendor/bin/magento-patches -n status |grep "47578|Status"
    
  3. Es sollte eine ähnliche Ausgabe angezeigt werden, bei der ACSD-47578 den Status Angewendet zurückgibt:

    code language-bash
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║ ║ N/A           │ ../m2-hotfixes/ACSD-47578__2.4.4_2.4.5_COMPOSER_patch.patch      │ Other           │ Local                  │ Applied     │ Patch type: Custom
    

Sicherheits-Updates

Für Adobe Commerce verfügbare Sicherheitsupdates:

recommendation-more-help
8bd06ef0-b3d5-4137-b74e-d7b00485808a